Mit dem Aufkommen von Entwicklungen wie Cyber-Security oder künstlicher Intelligenz wird das Thema Maschinensicherheit für die Hersteller in Zukunft noch größere Herausforderungen mit sich bringen als bisher. Diesen will man mit der neuen Maschinenverordnung EU 2023/1230 begegnen. Hauptgrund für ihre Einführung ist die Anpassung an den aktuellen Stand der Technik. Sie soll die neuen Anforderungen der Digitalisierung, funktionalen Sicherheit und selbstlernenden Systemen sowie der Cybersicherheit berücksichtigen. Daneben wurden die Inhalte der Maschinenverordnung an den sogenannten Blue Guide (Leitfaden für die Umsetzung der Produktvorschriften der EU 2022) angepasst. Auch die Liste der Maschinenrichtlinie für Maschinen mit besonderen Konformitätsbewertungsverfahren wird in diesem Zuge aktualisiert.
Wer ist von der neuen Maschinenverordnung betroffen?
Die Maschinenverordnung gilt für alle Unternehmen, die bestimmte Produkte herstellen, in Verkehr bringen oder in Betrieb nehmen. Hierzu gehören folgende Maschinenprodukte:
- Maschinen,
- auswechselbare Ausrüstungen,
- Sicherheitskomponenten,
- Lastaufnahmemittel,
- Ketten, Seile, Schlingen und Gurte,
- abnehmbare mechanische Kraftübertragungseinrichtungen,
- unvollständige Maschinen.
Da es sich um eine EU-Verordnung handelt, gilt sie unmittelbar für sämtliche Wirtschaftsbeteiligten aller Mitgliedsstaaten. Ab der Veröffentlichung im EU-Amtsblatt (29.06.2023) gilt für die Maschinenbauer noch eine Übergangsfrist von 42 Monaten zur Anpassung ihrer internen und externen Prozesse an die neue Verordnung.
Maschinensicherheit: Risiken minimieren
Durch die fortlaufende Entwicklung in der Digitalisierung treten auch immer wieder neue Risiken für die Maschinensicherheit auf, die die Maschinenrichtlinie bisher nicht ausreichend berücksichtigt. Daher soll die neue EU-Maschinenverordnung insbesondere folgende Sicherheitsrisiken minimieren:
- Mensch-Roboter-Zusammenarbeit (kollaborative Roboter – Cobots),
- mit dem Internet verbundene Maschinen,
- Auswirkungen von Software-Updates,
- autonome Maschinen und Fernüberwachungsstationen.
Des Weiteren soll die neue Maschinenverordnung den Verwaltungsaufwand und die Kosten für Hersteller verringern, indem sie z.B. digitale Formate für die Betriebsanleitung ermöglicht. Durch die einheitlichen und EU-weit verbindlichen Regelungen soll zudem die Rechtssicherheit für Unternehmen steigen.
Neue Anforderungen bis 2024/2025 umsetzen
Welche neuen Vorgaben kommen aber jetzt auf die Maschinenhersteller zu und wie lange haben sie Zeit, ihre internen Prozesse entsprechend anzupassen? Die Verordnung (EU) 2019/1781 zur Änderung der Maschinenverordnung enthält verschiedene neue Anforderungen, die bis 2025 umgesetzt werden müssen, wobei einige bereits 2024 umgesetzt sein müssen. Hier sind einige der wichtigsten Punkte:1. Neue Anforderungen für die Konformitätsbewertung: Die Verordnung führt neue Anforderungen für die Konformitätsbewertung von Maschinen ein. Dies umfasst unter anderem die Überprüfung der technischen Dokumentation, die Durchführung von Risikobewertungen und die Einhaltung der geltenden harmonisierten Normen.
2. EU-Konformitätsbewertungsverfahren: Die Verordnung führt ein EU-Konformitätsbewertungsverfahren für bestimmte Kategorien von Maschinen ein. Dieses Verfahren ermöglicht eine einheitliche Bewertung der Konformität von Maschinen in der gesamten EU.
3. EU-Konformitätserklärung: Die Verordnung führt eine EU-Konformitätserklärung für Maschinen ein. Diese Erklärung muss vom Hersteller ausgestellt werden und bestätigen, dass die Maschine den geltenden Anforderungen entspricht.
4. Neue Anforderungen für bestimmte Maschinenkategorien: Die Verordnung enthält spezifische Anforderungen für bestimmte Kategorien von Maschinen, wie z.B. Maschinen zur Lebensmittelverarbeitung, Maschinen zur Holzbearbeitung und Maschinen zur Metallbearbeitung.
Änderungen sind jederzeit möglich
Es ist dabei wichtig zu beachten, dass diese Informationen auf dem aktuellen Stand sind, aber Änderungen oder Aktualisierungen an der Verordnung jederzeit möglich sind. Es ist deshalb ratsam, die offiziellen Veröffentlichungen der EU zu überprüfen, um über etwaige Änderungen informiert zu sein. Obwohl es eine Übergangsfrist von 42 Monaten gibt, sollten sich die Maschinenhersteller daher so bald wie möglich mit der Thematik befassen und konkret dazu informieren.
Cyber-Security nicht exakt definiert
Maschinen müssen laut dem entsprechenden Kapitel der neuen EU-Maschinenverordnung den ‚Anforderungen genügen‘. Diese allerdings sind in ihrem späteren Einsatzgebiet nicht näher definiert. Um die Security sicherstellen zu können, benötigt der Maschinenhersteller Informationen bzw. Vorgaben von seinen Kunden oder den Betreibern der Gesamtanlage. Diese müssen klar definieren, was sie in Kontext zu der jeweiligen Gesamtanlage an Sicherheitsfunktionen in der Maschine benötigen.
Marktgängiges Cybersicherheits-Produkt
Ein bereits marktgängiges Produkt, das die Anforderungen der neuen Maschinenverordnung erfüllt, ist das modulare Cybersicherheitssystem Se.MIS von Sematicon. Ziel bei seiner Entwicklung war es, die Industrie vor Cyberattacken zu schützen. Durch die Integration in Maschinen und Anlagen auf Basis moderner IT-Sicherheitsstandards gelingt dies – ohne sie durch zusätzliche Software oder Updates zu verändern. Die Gesamtlösung basiert auf einer automatisierten digitalen Audit-Plattform, die sämtliche Anlagen, Änderungen und Zugriffe dokumentiert und damit ein lückenloses Protokoll erstellt. Gleichzeitig lassen sich so auch die Anforderungen des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) erfüllen. Zudem werden auch die Vorgaben der IEC-62443 berücksichtigt.
Zero-Trust-Architektur
Die neuartige Architektur folgt ‚Zero-Trust‘ nach Empfehlung des BSI, um die besonders sensiblen Industrienetze nahezu wartungsfrei zu schützen. Zero Trust erfüllt die Sicherheitsanforderungen von datengesteuerten Hybrid-Cloud-Umgebungen und bietet Unternehmen einen adaptiven und unterbrechungsfreien Schutz für Benutzer, Daten und Anlagen sowie die Möglichkeit, Bedrohungen proaktiv zu verwalten. Diese Praxis des stetigen Überprüfens statt Vertrauens zielt darauf ab, jeden Benutzer, jedes Gerät und jede Verbindung für jede einzelne Transaktion mit Sicherheit zu umgeben. Die Anwendung eines Zero-Trust-Frameworks kann auch Verteidigern helfen, Einblicke in ihr gesamtes Sicherheitsgeschäft zu gewinnen. Sie können Sicherheitsrichtlinien konsequent durchsetzen und Bedrohungen schneller und präziser erkennen und darauf reagieren.
Konsequente Isolation
Das Se.MIS-Konzept der Isolation zwischen Techniker und einzelner Maschine bzw. Maschinennetzwerk stellt dabei sicher, dass er zu keiner Zeit direkten Netzwerkzugriff auf die jeweilige Maschine bekommt. Somit lassen sich auch unsichere oder ungepatchte Systeme wie Windows XP/ 7 problemlos anbinden. Bei entsprechender Konfiguration kann ein Virenscanner auf dem Zielsystem ebenso entfallen. Alle Datei-Transfers werden in der digitalen Audit-Plattform dokumentiert und sind auf Viren und Schadcode überprüfbar bevor diese das Zielsystem erreichen. Auch softwarebasierte Datendioden sind möglich. Beim reglementierten Zugriff auf SPS-Steuerungen wird die Isolation konsequent fortgesetzt. Der Download kann disassembliert und mit dem Wartungsvorhaben verglichen werden. So hat auch unbekannter SPS-Schadcode keine Chance auf Eindringen.
Der Sicherheits-Manager
Kernstück ist der Se.MIS-Manager mit Web-Interface. Das Gesamtsystem wird im internen Netz betrieben und ist im Idealfall das einzige System mit indirektem Zugriff auf das isolierte Maschinennetzwerk. Der Manager kann in der Cloud oder außerhalb auf einem lokalen System installiert werden. Die komplette Lösung wird als digitaler Container vorinstalliert und vorkonfiguriert ausgeliefert. Steht ein Update an, wird dieser lediglich getauscht.
